Cybercrime

Angriff aus dem Web

Kriminelle versuchen über gefälschte E-Mails, Firmen zu Geldüberweisungen zu veranlassen. Die Zahl der Fälle ist hoch. Doch Unternehmen können sich schützen. JOSEF STELZER

matthias_schmidt10
Matthias Schmidt, Internetexperte bei der ZAC in München, Foto: Marion Vogel

Prokurist Hans Müller* traute seinen Augen nicht, als er Anfang September folgende E-Mail vom
E-Mail-Account seines Chefs erhielt: „Sehr geehrter Herr Müller, zurzeit bereiten wir die Übernahme eines Unternehmens vor, welches insbesondere die erforderlichen finanziellen Transaktionen erfordert.“ Die Angelegenheit müsse absolut vertraulich behandelt werden. Die Bekanntmachung des Übernahmeangebots erfolge in Kürze. „Jede Erörterung der geplanten Übernahme erfolgt ausnahmslos per E-Mail an Sie oder mich, auch um eine ausreichende Dokumentation gemäß den BaFin-Richtlinien sicherzustellen. Können wir mit heutigem Wertstellungsdatum eine Zahlung im Außenwirtschaftsverkehr vornehmen, ohne irgendwelche Fragen aufzuwerfen?“ Unterschrieben war die E-Mail mit dem Namen des Geschäftsführers, dem Chef von Herrn Müller.
Dem Prokuristen kamen die Anweisungen seltsam vor. Er fragte umgehend bei seinem Chef nach. Die E-Mail war tatsächlich gefälscht – ein dreister Betrugsversuch. „Es handelt sich um einen sogenannten CEO-Fraud und damit um eine Straftat, die bei der Zentralen Ansprechstelle Cybercrime – kurz: ZAC – des Bayerischen Landeskriminalamts angezeigt werden sollte“, erläutert Svenja Hartmann, IHK-Referentin Recht und Steuern.

Schäden durch CEO-Frauds

Solche Angriffe aus dem Netz sind kein Einzelfall. Kriminelle fälschen E-Mails und manipulieren Rechnungen, erpressen Unternehmen mit Schadsoftware und erbeuten mit clever eingefädelten Tricksereien hohe Summen. Die dadurch verursachten Schäden verdreifachten sich zwischen 2014 und 2016 nach Berechnungen des Bundeskriminalamts (BKA) bundesweit auf über 75,2 Millionen Euro. Bei den Betrugsversuchen ermittelte das BKA allein für 2016 ein Schadenspotenzial von insgesamt 171,4 Millionen Euro. Bei der Münchner ZAC melden jeden Monat vier bis fünf Unternehmen neue CEO-Frauds. „Wir gehen davon aus, dass aufgrund solcher Tricksereien nach wie vor viel Geld fließt, sei es durch Routine oder aufgrund von Nachlässigkeiten in den betroffenen Betrieben“, sagt Matthias Schmidt, Internetexperte bei der ZAC in München.

Die Dunkelziffer der Betrugsfälle, die Opfer entweder nicht erkennen oder nicht anzeigen, liegt seiner Einschätzung nach bei mindestens 80 Prozent. Beim CEO-Fraud täuschen Cyberkriminelle ausgewählte Mitarbeiter oder Entscheidungsträger derart geschickt, dass diese hohe Geldbeträge überweisen – und zwar vermeintlich im Auftrag der eigenen Geschäftsführung. Die Täter versenden frei erfundene Rechnungen angeblicher Geschäftspartner mit gefälschten, aber echt wirkenden E-Mail-Adressen und fordern die Buchhaltung auf, den Betrag sofort und ohne weitere Rücksprache zu überweisen.

Wie raffiniert die Kriminellen zu Werke gehen, zeigte sich in einer unterfränkischen Firma. Im Frühjahr 2017 hatten Mitarbeiter nach einer gefälschten E-Mail-Anweisung ihres Geschäftsführers 60000 Euro auf ein Konto nach Großbritannien überwiesen. Erst bei einem weiteren, ähnlich gelagerten Überweisungsschwindel wurden die Angestellten misstrauisch und informierten vorsichtshalber ihren Chef, der sich im Ausland aufhielt. Der Schwindel flog zwar auf, doch das Geld war weg. Noch weitaus größer war der Schaden für eine Münchner Großbäckerei. Die Buchhalterin des Traditionsunternehmens fiel Ende 2015 auf einen CEO-Fraud herein und überwies mehr als 1,9 Millionen Euro auf eine Bank nach Hongkong.

Beim Nürnberger Automobilzulieferer Leoni AG konnten Betrüger per Chefmasche im Vorjahr sogar rund 40 Millionen Euro ergaunern. Warum der Trick so häufig funktioniert? „Die Täter kennen die Strukturen in den Unternehmen oft sehr genau und wissen, wie sich per Mail ein CEO-Fraud erfolgversprechend einfädeln lässt“, warnt Schmidt. Die Betrüger beschaffen sich zunächst die Kontaktdaten der Personen in den Unternehmen, die sie ins Visier nehmen wollen, und Informationen über die vorgetäuschten Mailabsender. Dazu nutzen sie zum Beispiel Firmenwebseiten, Karriere- und Businessportale, soziale Netzwerke oder Handelsregistereinträge. Schmidt kennt die Schliche der Onlinekriminellen aus seiner langjährigen LKA-Tätigkeit: „Die Täter imitieren den betriebstypischen Kommunikationsstil mitunter fast perfekt.“

Ransomware kann ganze IT-Systeme blockieren

Der Cheftrick ist aber nur eine Onlinebetrugsmasche unter vielen. Beim E-Mail-Spoofing etwa werden Absenderadressen vorgegaukelt, um die Mail-Empfänger auf Webseiten zu locken, die mit Schadsoftware infiziert sind. Als überaus gefährlich erweist sich dabei die sogenannte Ransomware, die sich über solche Webseiten oder über E-Mail-Anhänge in die betrieblichen Computernetze einschleust. Dort blockieren die Verschlüsselungstrojaner den Zugriff auf IT-Systeme oder Daten, sodass sich diese nicht mehr nutzen lassen. Erst nach Zahlung eines Lösegelds, so drohen die Erpresser, werde der Entschlüsselungscode gesendet. Die Lösegeldzahlungen erfolgen mittels digitaler Währungen wie etwa Bitcoin, weil dies anonyme Geldtransfers per Internet ermöglicht.

Zu den Angriffszielen gehören nicht nur Konzerne und innovative Technologieunternehmen. „Gefährdet sind gerade auch die kleineren Firmen, weil dort die Risiken häufig nicht erkannt werden und Onlineangriffe für sie sogar existenzbedrohend sein können“, sagt Schmidt und appelliert an die Unternehmer: „Das Thema IT-Sicherheit ist unbedingt Chefsache. Wir sind dafür ein Ansprechpartner.“

Allianz für Cybersicherheit